La Oficina del Comisionado de Información del Reino Unido (ICO) ha multado a la aerolínea bandera de Reino Unido, British Airways, con £20 millones ($25 millones de dólares).
La comisión encontró a la aerolínea responsable de no proteger más de 400,000 de los datos personales y financieros de sus clientes que se filtraron durante un incidente relacionado a un ciberataque en 2018. Si bien es significativa, la sanción financiera es alrededor de 25 veces menor que el «peor de los casos escenarios” inicialmente estimado.
Tras una investigación de dos años, la ICO descubrió que British Airways estaba procesando una cantidad «significativa» de datos privados de sus clientes sin las medidas de seguridad adecuadas. La comisión señaló en un comunicado el pasado 16 de octubre de 2020, que si la aerolínea hubiera identificado y resuelto las debilidades de sus medidas de seguridad, podría haber evitado que el ciberataque de 2018 «se llevara a cabo de esta manera».
British Airways también reveló que había sido objeto de un ciberataque el 6 de septiembre de 2018.
«Desde las 22:58 (BST) del 21 de agosto de 2018 hasta las 21:45 (BST) del 5 de septiembre de 2018, inclusive, los datos personales y financieros de los clientes que realizan reservas en ba.com y en la aplicación movil de la aerolínea se vieron comprometidos», señaló el operador inglés en un comunicado.
En ese momento, se estimó que los piratas informáticos obtuvieron datos personales de alrededor de 380,000 clientes, incluidos nombres, direcciones, números de tarjetas de crédito, fechas de vencimiento y códigos de seguridad, pero no detalles de viaje o pasaporte, como enfatizó la aerolínea.
«Descubrimos que había sucedido algo la noche del 5 de septiembre de 2018, pero no sabíamos qué era. Así que de la noche a la mañana, los equipos intentaron averiguar el alcance del ataque. Lo primero era averiguar si se trataba de algo grave y a quién afectaba o no. En el momento en que los datos reales del cliente se vieron comprometidos, fue cuando comenzamos la comunicación inmediata con nuestros clientes», dijo el presidente y director ejecutivo de la aerolínea, Alex Cruz, durante los ataques.
Sin embargo, el anuncio de la ICO indica que la filtración de datos afectó a alrededor de 429,612 clientes y personal de British Airways. Entre ellos, hay alrededor de 244,000 personas cuyos nombres, direcciones, números de tarjetas de pago y números CVV que se cree que él o los atacantes accedieron.
«Su falta de acción fue inaceptable y afectó a cientos de miles de personas, lo que puede haber causado algo de ansiedad y angustia como resultado. Es por eso que hemos otorgado a British Airways una multa de £20 millones de libras, la mayor hasta la fecha”, señalaron los investigadores de la ICO en el comunicado.
Sin embargo, la multa que se considerada la más grande hasta la fecha no es tan grande si se tiene en cuenta que la estimación inicial del peor de los casos apuntaba a una suma 25 veces mayor.
Después de que la información sobre el ciberataque a la aerolínea se hiciera pública en 2018, los expertos estimaron que la aerolínea podría estar sujeta a una multa de hasta £489 millones de libras ($637 millones de dólares), el 4% de sus ingresos globales anuales en 2017.
En junio de 2019, ICO emitió a la empresa un aviso de intención de multar, revelando finalmente el tamaño real de la penalidad financiera propuesta. En realidad, la autoridad proponía una multa de £183,39 millones de libras esterlinas contra la compañía aérea, lo que equivalía aproximadamente al 1.5% de los ingresos de British en 2017.
Entonces, ¿cómo pasó la multa de los £183,39 millones previstos a los £20 millones reales? Bueno, esto se debió al impacto que ha tenido la crisis sanitaria por COVID-19 en la industria aérea a nivel mundial y en especial en ese país.
“Como parte del proceso regulatorio, la ICO consideró tanto las repercuciones a British Airways como el impacto económico por el COVID-19 en su negocio antes de establecer una sanción final”, explicó la autoridad en su último comunicado.